حثّ الباحثون مستخدمي أيفون على إزالة فيزا كبطاقة نقل عبر "أبل باي" بعد الكشف عن عيب يقولون: "إنه يمكن للمحتالين استخدامه لتجاوز الأمان وإجراء مدفوعات غير محدودة"، بحسب صحيفة "ميترو".
فقد حذر خبراء من جامعة برمنغهام وجامعة ساري من إمكانية استغلال المشكلة لإجراء معاملات من أيفون داخل حقيبة شخص ما، دون علمه.
ثغرة أمنية
وزعم الخبراء أن الثغرة الأمنية تحدث فقط على "أبل باي" عندما يتم إعداد بطاقة فيزا كبطاقة "إكسبرس ترافيل"، والمعروفة أيضًا بوضع "إكسبرس ترانزت" وهي ميزة خاصة تسمح للأشخاص الدخول والخروج من وسائل النقل العام دون الحاجة إلى فتح هواتفهم.
وباستخدام معدات لاسلكية بسيطة، تمكن الفريق من خداع أيفون ليعتقد أنه يتواصل مع بوابة عبور عندما كان في الواقع قارئًا للدفع تستخدمه المتاجر، والمعروف بين خبراء الإنترنت باسم "هجوم مان إن ذا ميديل".
وتم ذلك عن طريق تحديد رمز فريد يتم بثه عن طريق بوابات العبور أو البوابات الدوارة، والتي تم استخدامها بعد ذلك للتداخل مع الإشارات بين جهاز أيفون وقارئ بطاقة المتجر.
وقال توم شوثيا، الذي شارك بالدراسة، من جامعة برمنغهام: "يجب على مالكي أيفون التحقق مما إذا كان لديهم بطاقة فيزا معدة لمدفوعات العبور، وإذا كان الأمر كذلك، فيجب عليهم تعطيلها". وأضاف: "لا يعتبر مستخدمو أبل باي في خطر، ولكن حتى تصلح أبل أو فيزا هذا الأمر هم كذلك".
Experts show how to make fraudulent payments using Apple Pay with VISA on locked iPhones - Security Affairs https://t.co/smrSuvn4vT
— Krassen Deltchev (@test2v) September 30, 2021
كما لم تتمكن عمليات التحقق من الكشف عن الاحتيال لناحية إيقاف أي مدفوعات في الاختبارات التي أجرتها المجموعة.
ماذا قالت فيزا؟
وقال الباحثون: "إنهم شاركوا تفاصيل المشكلة مع كل من أبل وفيزا، وزعموا أن الشركتين اعترفتا بخطورة الثغرة الأمنية، لكنهما لم تتوصلا إلى اتفاق بشأن من يجب أن ينفذ الإصلاح".
وردّت فيزا مؤكدة أن بطاقاتها آمنة مع هذه الميزة، وأن حاملي البطاقات يجب أن يستمروا في استخدامها "بثقة".
وقالت متحدثة باسم فيزا: "إنه تمت دراسة الأشكال المختلفة لخطط الاحتيال اللاتلامسي في المعامل لأكثر من عقد وثبت أنها غير عملية للتنفيذ على نطاق واسع في العالم الحقيقي".
وأضافت: "تأخذ فيزا جميع التهديدات الأمنية على محمل الجد، ونحن نعمل بلا كلل لتعزيز أمان الدفع عبر النظام البيئي".
"بعيد الاحتمال"
وقال متحدث باسم أبل: "نحن نتعامل مع أي تهديد لأمن المستخدمين بجدية بالغة. يعد هذا مصدر قلق لنظام فيزا، لكن الشركة لا تعتقد أن هذا النوع من الاحتيال من المحتمل أن يحدث في العالم الحقيقي نظرًا لطبقات الأمان المتعددة المعمول بها".
وفي حالة حدوث مدفوعات غير مصرح بها، وهو أمر بعيد الاحتمال، أوضحت فيزا أن "حاملي بطاقاتهم محميون بموجب سياسة عدم المسؤولية الخاصة بشركة فيزا".
ومن جهته، قال الدكتور أندريا رادو من جامعة برمنغهام، الذي قاد الدراسة: "يُظهر عملنا مثالًا واضحًا لميزة تهدف إلى جعل الحياة أسهل بشكل تدريجي، وتأتي بنتائج عكسية وتؤثر سلبًا على الأمن، مع احتمال حدوث عواقب مالية خطيرة للمستخدمين".
وكشف النقاش مع أبل وفيزا أنه عندما يكون لدى طرفين في الصناعة مشكلة جزئية، فلن يكون أي منهما على استعداد لقبول المسؤولية وتنفيذ إصلاح، مما يترك المستخدمين عرضة للخطر إلى أجل غير مسمى، بحسب رادو.
مستويات أمان مرتفعة
في المقابل، لا يؤثر اكتشاف هذه الثغرة على المجموعات الأخرى، مثل ماستر كارد في أجهزة أيفون أو فيزا على "سامسونغ باي". وسيتم تقديم النتائج الكاملة للدراسة في ورقة بحثية العام المقبل.
وأضافت المؤلفة المشاركة، الدكتورة إيوانا بوريانو ، من جامعة ساري: "لقد أظهرنا كيف يمكن لميزة إجراء المدفوعات عبر الهاتف المحمول بدون تلامس أن تخفض مستوى الأمان. لكننا اكتشفنا أيضًا تصميمات الدفع عبر الهاتف المحمول بدون تلامس، مثل سامسونغ باي، والتي يمكن استخدامها وآمنة".